Vincent Canfield, skrbnik prodajalca e-pošte in gostovanja cock.li, je odkril, da je bilo njegovo celotno omrežje IP samodejno dodano na seznam UCEPROTECT DNSBL za skeniranje vrat iz sosednjih virtualnih strojev. Vincentovo podomrežje je bilo vključeno na seznam 3. stopnje, v katerem blokiranje izvajajo avtonomne sistemske številke in pokriva celotna podomrežja, iz katerih so se detektorji neželene pošte sprožili večkrat in za različne naslove. Posledično je ponudnik M247 onemogočil oglaševanje enega od svojih omrežij v BGP, s čimer je dejansko začasno ustavil storitev.
Težava je v tem, da lažni strežniki UCEPROTECT, ki se pretvarjajo, da so odprti releji in beležijo poskuse pošiljanja pošte prek sebe, samodejno vključijo naslove na seznam blokiranih na podlagi kakršne koli omrežne aktivnosti, ne da bi preverili vzpostavitev omrežne povezave. Podoben način blokiranja uporablja tudi projekt Spamhaus.
Za uvrstitev na seznam blokiranih je dovolj, da pošljete en paket TCP SYN, ki ga lahko napadalci izkoristijo. Ker dvosmerna potrditev povezave TCP ni potrebna, je mogoče uporabiti ponarejanje za pošiljanje paketa, ki označuje lažni naslov IP, in sprožiti vnos na seznam blokov katerega koli gostitelja. Pri simulaciji aktivnosti z več naslovov je možno stopnjevati blokado na 2. in 3. raven, ki izvajata blokado po podomrežju in številkah avtonomnega sistema.
Seznam 3. stopnje je bil prvotno ustvarjen za boj proti ponudnikom, ki spodbujajo zlonamerno dejavnost strank in se ne odzivajo na pritožbe (na primer gostovanje spletnih mest, posebej ustvarjenih za gostovanje nezakonite vsebine ali pošiljanje neželene pošte). Pred nekaj dnevi je UCEPROTECT spremenil pravila za vstop na sezname Level 2 in Level 3, kar je privedlo do bolj agresivnega filtriranja in povečanja velikosti seznamov. Na primer, število vnosov na seznamu 3. stopnje se je povečalo z 28 na 843 avtonomnih sistemov.
Da bi preprečili UCEPROTECT, je bila predstavljena zamisel o uporabi lažnih naslovov med skeniranjem, ki označujejo IP-je iz obsega sponzorjev UCEPROTECT. Posledično je UCEPROTECT v svoje baze podatkov vnesel naslove svojih sponzorjev in mnogih drugih nedolžnih ljudi, kar je povzročilo težave pri dostavi elektronske pošte. Na seznamu blokiranih je bilo tudi omrežje Sucuri CDN.
Vir: opennet.ru